Problème hacking Wordpress - fichiers wp-sample.php et wp-admin/wp-user.php

[claire5767]

Bonjour à tous

Récemment mon site fait sur wordpress a été hacké et des fichiers frauduleux pour envoyer des mails de masse ont été insérés (mail.php). Après avoir nettoyer mon FTP et changé mes mdp en prenant des compliqués (car mon hébergeur m'avait bloqué mon site), j'ai fait un scan du site et j'ai deux fichiers (cf titre du topic) dont voici ce que le scan me dit :

This file may contain malicious executable code
This file is a PHP executable file and contains an eval() function and base64() decoding function on the same line. This is a common technique used by hackers to hide and execute code. If you know about this file you can choose to ignore it to exclude it from future scans.

Quelqu'un pourrait-il me traduire : contains an eval() function and base64() decoding function on the same line et me dire ce qu'il faut concrètement que je fasse pour régler ce problème ?

En vous remerciant vivement pour votre retour.

Claire

 

[zeb]

Quelqu'un pourrait-il me traduire : contains an eval() function and base64() decoding function on the same line et me dire ce qu'il faut concrètement que je fasse pour régler ce problème ?

Les deux fonctions cités permettent d'une part de transformer un texte "anodin" en un text précis contenant du code la seconde fonction (eval) permet d’exécuter ce code. La présence de ces deux fonctions conjointes dans une même ligne de code est donc fatalement suspecte car il est rare qu'on ai usage de façon légitime a ces deux fonction dans un script.

par exemple ce code : eval(base64_decode("ZWNobyAnY2xhaXJlNTc2Nyc7")); affichera ton pseudo au travers d'un code php qui a été encodé en base 64 car base64_encode('echo "claire5767";') > ZWNobyAnY2xhaXJlNTc2Nyc7

Ce qu'il faut que tu face c'est déjà de mettre a jour ton WP si c'est pas déjà fait, mais quoi qu'il en soit si tu veux déterminer si ces lignes de codes sont légitimes ou pas il faut comparer les scripts incriminés avec les originaux (provenant d'une source fiables)

En cas de corruption il est conseillé de changer touts les mots de passes, de vider le serveur et de réinstaller. Attention toutefois la base de données n'est pas a vider (sauf si tu as un sauvegarde d'avant le souci qui contiens tout) mais a vérifier méticuleusement pour voir si elle n'a pas été corrompue avec un code a la con.

 

[claire5767]

Merci pour la réponse. D'accord donc je comprends que ce n'est pas normal cela mais il se peut que ce le soit. Après avoir été hacké, j'ai directement supprimé les fichiers suspects rajoutés le jours du piratage et la veille et j'ai changé mes Mdp en mettant des mdp sécurisés et installé des plugins de sécurité et un de scan sur tous mes sites WP. J'en ai 6 en tout et tous les autres sont OK aucun soucis, il n'y a que celui-ci.

Mon WP n'est pas à jour, j'attendais de faire une copie pour le faire je vais le faire de suite et je vais voir où je peux trouver un script original : ces scripts dépendant de WP ? ou de mon thème ? Puis je comparer les deux fichiers de deux sites WP différents n'ayant pas le même thème ?

 

[zeb]

ces scripts dépendant de WP ? ou de mon thème ? Puis je comparer les deux fichiers de deux sites WP différents n'ayant pas le même thème ?

Aucune idée je ne travaille que très peux avec WP. Si ces scripts sont liée au core WP oui tu peux les comparer avec d'autres d'un autre site a version similaire. Si ils sont liés au thème il faut alors les comparer au thème original.

 

[claire5767]

D'accord, merci j'y vois un peu plus claire, je vais de suite regarder ça ! Merci encore Zeb pour ce retour, on voit qu'on est pas formée dans la technique quand on rencontre ce genre de soucis !